Forum Clubic

Comment éradiquer Dropper.Small.8.D

Bonjour à tous !

Je sollicite votre aide car je suis au bout de mes solutions :frowning: .

J’ai été infecté aujourd’hui par Dropper.Small.8.D. D’après AVG, ce serait un trojan et bien évidement, il ne veut pas me l’enlever. J’ai essayé : BPS, Trojan Remover, Hijack… bref ,plein de logiciels mais rien a faire ca ne marche pas.
En plus, je ne trouve aucune info sur ce troyan. Tout ce que je sais, ce que me dis AVG, le fichier infecté est counter.exe dans (C:\counter.cab)

Est-ce que certains d’entre vous ont deja eu à faire à lui ?
Merci pour votre aide !

plusieurs pistes peut-être :
http://www.bullguard.com/forum/9/Trojan-Horse-DropperSmall8D-an_8459.html
http://www.faqfarm.com/Computer/Virus/Dropper

as-tu essayé en mode sans échec ? et resto système désactivée ?

à tout hasard refais nous un log Hijack et post le ici, k’on jette un oeil :wink:

fichier infecté est counter.exe dans C:\ce ne serait pas AVG (je ne connais pas AVG) qui aurait crée cette archive et que tu devrais supprimer–>counter.cab?

scan la restauration système désactivée ? Tu as vidé ton cache internet (cookies et Temp) + ta corbeille + 1 nettoyage de disque (outils système) ? Utilisé Spybot 1.3

Refait un nouveau log hijack (version 1.99) et copie/colle le log :wink:

  • Le mettre dans 1 dossier ex: C:\HijackThis
  • Le lancer -> Scan -> Save log
  • Récupérer ce log/texte avec le bloc-notes.
  • Le copier/coller ici <–

TazBurner :wink: scuse, j’avais pas vu que tu répondais ; j’ai trouvé les mm sites que toi entre autres :lol:

Merci pour votre aide !

J’ai viré manuellement couter.cab et il a disparu. Par contre, j’ai toujours le meme problème (je ne sais pas si c’est lié) de ma page d’accueil d’IE qui va sur about:blank et un popup qui me dit de télécharger leur spyware.

Voici le log de HijackTHis :

[i]

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\tp4serv.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINNT\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
C:\Program Files\Google\Gmail Notifier\G001-1.0.24.0\gnotify.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\System32\rundll32.exe
C:\WINNT\System32\ctfmon.exe
C:\CFGSAFE\AUTOCHK.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\System32\PLServ.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgwb.dat
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\HijackThis.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINNT\System32\BhoECart.dll
O2 - BHO: (no name) - {8DF9F824-1AC3-4A76-9AC5-1AD6261FC327} - C:\WINNT\System32\hmda.dll
O4 - HKLM…\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM…\Run: [tourpath] regedit /s c:\winnt\tour.reg
O4 - HKLM…\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM…\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe” -osboot
O4 - HKLM…\Run: [pdfFactory Pro Dispatcher v2] C:\WINNT\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
O4 - HKLM…\Run: [eCarteBleue-CLEO] “C:\Program Files\e-Carte Bleue\CL\e-Carte Bleue VISA Cleo\ECB-CLEO.exe” /dontopenmycards
O4 - HKLM…\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\G001-1.0.24.0\gnotify.exe
O4 - HKLM…\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM…\Run: [sp] rundll32 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKCU…\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - HKCU…\Run: [chatlresen] C:\WINNT\System32\chatlresen.exe
O4 - Global Startup: AUTOCHK.LNK = C:\CFGSAFE\AUTOCHK.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://downloads.winwise.fr/Common/npwwg.cab
O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - https://www-3.ibm.com/pc/support/access/sdccommon/download/en/IbmEgath.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {AB29A544-D6B4-4E36-A1F8-D3E34FC7B00A} - http://install.wildtangent.com/bgn/partners/shockwave/cannonballs/install.cab
O16 - DPF: {ABB08127-7417-11D4-8566-00500448008D} (Chat Class) - http://downloads.winwise.fr/Common/npchatlax.cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://216.65.38.226/crack.CAB
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/it/Woo2/fr/chat/nPaxChat.cab
O18 - Filter: text/html - {4F9A84F9-A02F-4234-BFB8-C26A74AB60DF} - C:\WINNT\System32\hmda.dll
O18 - Filter: text/plain - {4F9A84F9-A02F-4234-BFB8-C26A74AB60DF} - C:\WINNT\System32\hmda.dll
O21 - SSODL: Advanced Features - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - (no file)
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Service d’administration du Gestionnaire de disque logique - Unknown - C:\WINNT\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Fax - Unknown - C:\WINNT\system32\fxssvc.exe
O23 - Service: IBM PM Service - IBM Corp. - C:\WINNT\System32\ibmpmsvc.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINNT\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINNT\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINNT\system32\netdde.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
O23 - Service: Privilege Win32 Server - Aladdin Knowledge Systems - C:\WINNT\System32\PLServ.exe
O23 - Service: Gestionnaire de session d’aide sur le Bureau à distance - Unknown - C:\WINNT\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINNT\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINNT\System32\tlntsvr.exe
O23 - Service: Gestionnaire d’utilitaires - Unknown - C:\WINNT\System32\UtilMan.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINNT\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINNT\System32\wbem\wmiapsrv.exe

[/i]

Merci pour votre aide !

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
aie! même pas le sp1…

fixe (coche)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\se.dll/sp.html<–vide ton cache aussi
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\LOCALS~1[b]Temp\se.dll/sp.html[/b]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {8DF9F824-1AC3-4A76-9AC5-1AD6261FC327} - C:\WINNT\System32\hmda.dll

les 04
1) ctrl/alt/supp/ arrête ces processus
2) tu repasses sur le log et tu fixes

O4 - HKLM…\Run: [sp] rundll32 C:\DOCUME~1\ADMINI~1\LOCALS~1[b]Temp\se.dll,DllInstall[/b] <–bis!!
O4 - HKCU…\Run: [chatlresen] C:\WINNT\System32\chatlresen.exe

O10 - Unknown file in Winsock LSP: c:\program files[b]bulletproofsoft[/b].com\bps spyware & adware remover\apptoport.dll
c’est Trojan Remover qui te génère tout ça? piouu! laisse tomber
http://abcdelasecurite.free.fr/html/modules.php?name=News&file=article&sid=170
fixe toutes les lignes 010 , ça ne sert à rien

tu peux fixer toutes les 016 sans problèmes, ça va faire du ménage, ce sont des activX qui se réinstalleront dès que tu visiteras ces mêmes sites

O18 - Filter: text/html - {4F9A84F9-A02F-4234-BFB8-C26A74AB60DF} - C:\WINNT\System32\hmda.dll
O18 - Filter: text/plain - {4F9A84F9-A02F-4234-BFB8-C26A74AB60DF} - C:\WINNT\System32\hmda.dll

O21 - SSODL: Advanced Features - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - (no file) <-- le CLSID du Troj/Small-FW/selon Sophos, c’est peut être le mm que le tien sous une autre définition…
http://www.sophos.fr/virusinfo/analyses/trojsmallfw.html

*ferme TOUS les programmes
*fixe les lignes trouvées dans l’hijack
*ferme l’hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et temps) vide ta corbeille
*effectue un nettoyage de disque (démarrer/program./accessoires/outils système/répondre OK à TOUT)

Utilise d’autres anti-spys au moins ces 2 là, gratuits/complémentaires/assez efficaces pour le prix :sol:

télécharge Ad-aware.SE/ Spybot.s&d 1.3


:wink: je cherchais l’autre article, ayé!

BulletProofSoft Spyware Remover
Spyware Remover est une violation du copyright, qui utilise une copie volée de la base de données de Spybot-S&D.
S’il vous plaît, N’UTILISEZ PAS Spyware Remover

http://www.safer-networking.org/fr/compatibility/bps.html

Merci beaucoup ! Je vais essayer ca !

Y’a qu’a cocher, c’est facile !

Sinon au départ tu dis “meme pas le sp1”. Ca signifie quoi ?

Pour ad-aware, je ne trouve que la version 1.05

Merci !

SP1/ensemble de correctifs de sécurité, ça signifie que ton update OS n’est pas à jour de ses correctifs (= Microsoft Windows Update)… le SP2 est sorti depuis plusieurs mois

O16 - DPF: <-- tu n’as pas l’ombre d’une trace d’une viste chez Crosoft - va falloir :slight_smile:

Ad-Aware SE Personal Edition 1.05 <–c’est lui, le free

Edit/ (screenshot)<–regarde pour traiter le log


http://www.ordi-netfr.org/tutorialhijackthis.html <- en français

J’ai peut de faire une anerie donc je me permets de te poser encore des questions.

Il faut que je fixe les lignes que tu as mis en gras ou toutes celles que tu as indiquées

Merci encore !

Et quand tu me dit de vider mon cache, ca signifie quoi ?

Merci !!!

je te l’avais marqué plus haut
*nettoie le cache internet (options internet : supprimer cookies et temps)

toutes les lignes de mon post hein! :smiley: sont à fixer/cocher oui
et arrête bien les programmes des lignes 04 avant de les cocher

En fait, pour ne pas t’embeter, je vais poser toutes mes questions en un coup.

  • Je coche toutes les lignes que tu me dis et apres je fais “Fix checked” ?

  • Quand tu écris :
    “*ferme TOUS les programmes
    *fixe les lignes trouvées dans l’hijack
    *ferme l’hijack
    *reboot ton ordi
    *nettoie le cache internet (options internet : supprimer cookies et temps) vide ta corbeille
    *effectue un nettoyage de disque (démarrer/program./accessoires/outils système/répondre OK à TOUT)”
    Quand tu dis ferme tous les programmes, ceux sont ceux que je suis en train d’utiliser ou dans le gestionnaire de programme ? Et puis apres je fixe toutes les lignes que Hijack me ressors.

Merci vraiment beaucoup !

J’avais pas vu ta réponse juste au dessus ! Merci

Pour le 04, j’arrete quels processus ?
Merci !

PS : Dis-moi si je te saoule ! C’est vraiment trop sympa !

C’est nickel a priori ! Merci beaucoup !
En fait la question des programmes à arreter c’était car je ne trouve pas les processus sp et chatlresen

Je vais imprimer tout ca pour fermer tout !

Merci beaucoup :jap:

si ça te pose trop de problèmes et que le mode sans échec beaucoup moins :wink: tu fais tout les fix en mode sans échec, comme ça tu n’as pas à arrêter les processus, par contre il est préconisé de désactiver la restauration système avant de passer en mode sans échec, ensuite fix, redémarrer en mode normal et effectuer tout le nettoyage (cache/corbeille/disque) ensuite uniquement de réactiver la restauration système

et pense à faire un tour chez windows update :lol:
au moins pour avoir le SP2 (en espèrant ke tuas du haut débit kan même :slight_smile:

beau boulot westernunion :wink:

pendant ce temps là j’me matais un bon DVD :whistle:

Ayé ca marche ! Je touche du bois !

Merci !!!
Y’a que les O10 que je n’ai pas réussi à virer. Il ne veut pas.

Merci encore !!!